Код:
>> Заблокирован элемент Выполнить в меню Пуск
Сделано намеренно?
• Обновите
Internet Explorer до
восьмой версии, даже если им не пользуетесь.
• Проверьте на
VirusTotal
Код:
c:\SuB\MaRiNe\YeLLoW.exe
Отключите защитное ПО (Антивирус/Файерволл)!
• Выполните скрипт
AVZ
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(true);
ClearQuarantine;
QuarantineFile('c:\SuB\MaRiNe\YeLLoW.exe','');
QuarantineFile('M:\autorun.inf','');
QuarantineFile('C:\Users\Тася\Downloads\Codec.10.1.2.exe','');
QuarantineFile('C:\Users\Тася\AppData\Roaming\ser.exe','');
QuarantineFile('C:\Users\Тася\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G9PEFNZY\calc[1].exe','');
QuarantineFile('C:\Windows\system32\mdyxkxa.dll','');
QuarantineFile('C:\Users\Тася\AppData\Roaming\derlj.dll','');
QuarantineFile('C:\Users\Тася\AppData\Roaming\gegtru.dll','');
QuarantineFile('C:\ProgramData\Media\module.exe','');
QuarantineFile('C:\Windows\system32\FDE9.tmp','');
QuarantineFile('C:\Windows\system32\9356.tmp','');
DeleteFile('C:\Windows\system32\9356.tmp');
DeleteFile('C:\Windows\system32\FDE9.tmp');
DeleteFile('C:\ProgramData\Media\module.exe');
DeleteFile('C:\Users\Тася\AppData\Roaming\gegtru.dll');
DeleteFile('C:\Users\Тася\AppData\Roaming\derlj.dll');
DeleteFile('C:\Windows\system32\mdyxkxa.dll');
DeleteFile('C:\Users\Тася\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\G9PEFNZY\calc[1].exe');
DeleteFile('C:\Users\Тася\AppData\Roaming\ser.exe');
DeleteFile('C:\Users\Тася\Downloads\Codec.10.1.2.exe');
DeleteFile('M:\autorun.inf');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\eqwnocx');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\hmroxhkny');
RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupreg\Module');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Shell');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','123');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','123');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
DeleteFileMask('C:\WINDOWS\TEMP\', '*.*', true);
DeleteFileMask(GetEnvironmentVariable ('Temp'), '*.*', true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
• После перезагрузки выполните такой скрипт:
AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте
quarantine.zip из папки AVZ через
эту форму.
•
Пофиксите в HiJackThis
Отметьте галочками указанные строки и нажмите
Fix Checked.
Код:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O4 - Startup: _uninst_setup_9.0.0.722_22.12.2010_20-27.exe.lnk = ?
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
• Сделайте новые логи по
правилам
• Скачайте
Malwarebytes' Anti-Malware или с
зеркала, установите, обновите базы, выберите "
Perform Full Scan", нажмите
Scan, после сканирования -
Ok -
Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
